Краткое руководство Microsoft PKI. Часть 3. Установка

Опубликовано: 10 Апреля, 2023

  • Краткое руководство Microsoft PKI. Часть 1. Планирование
  • Краткое руководство Microsoft PKI. Часть 2. Проектирование

подпишитесь на информационный бюллетень с обновлениями статей WindowSecurity.com в режиме реального времени

Мы подошли к третьей статье из четырех частей краткого руководства Microsoft PKI. В нашей первой статье мы дали вам краткий обзор того, как подготовить и спланировать Microsoft PKI. В нашей второй статье мы перешли в режим разработки и рассмотрели некоторые оптимальные настройки. В этой статье мы углубимся в технические подробности и покажем вам, как установить PKI на основе служб сертификации Microsoft в Windows Server 2003.

Установка PKI

Основываясь на некоторых проблемах дизайна из нашей предыдущей статьи, пришло время начать установку вашей PKI. Поскольку это краткое руководство, по ходу дела мы рассмотрим несколько вещей, хотя на самом деле они относятся к стадии проектирования. В оставшейся части этой статьи мы покажем вам, как установить двухуровневую иерархию, состоящую из автономного корневого ЦС и онлайн-выпускающего ЦС в одной и той же PKI, используя передовые методы. Однако, прежде чем мы начнем установку, давайте сделаем несколько практических вещей.

На рисунке 1 мы проиллюстрировали рекомендуемый период действия для каждого ЦС на каждом уровне (на основе трехуровневой иерархии для полного обзора). Преимущество этой модели заключается в том, что она всегда обеспечивает согласованность выданных сертификатов на каждом уровне. Если вы хотите развернуть только двухуровневую иерархию, просто удалите ЦС на уровне 3. Модель по-прежнему будет применяться.

Изображение 24833
Рис. 1. Рекомендуемый период действия для каждого ЦС на каждом уровне

Еще одна вещь, которую вы должны подготовить, прежде чем мы начнем установку, — это текстовый файл с именем CAPolicy.inf. Этот файл используется для настройки вашей конфигурации служб сертификатов Windows. В этом файле вы найдете важные вещи, такие как:

  • Заявление CDP
  • Параметры продления сертификата, такие как срок действия и размер ключа
  • Ссылки для путей CDP и AIA
  • Как часто следует публиковать CRL

Создайте файл с помощью Блокнота и сохраните его в %windir%capolicy.inf (например, C:Windowscapolicy.inf).

Мы значительно упростили для вас эту задачу, предоставив файлы в наших пошаговых инструкциях ниже. Имея это в виду, пришло время заняться техническими вопросами.

Установка автономного корневого ЦС

Чтобы установить автономный корневой ЦС, вам необходимо выполнить следующее:

  • Подготовьте файл CAPolicy.inf.
  • Установите службы сертификации Windows
  • Опубликовать список отзыва сертификатов
  • Запустите сценарий после настройки

Вот как это должно быть сделано:

  1. Установить сервер с Windows Server 2003 Standard Edition вкл. SP1 или новее и убедитесь, что он работает как автономный сервер (т. е. он не должен быть членом какого-либо домена).
  2. Сделайте необходимые замены параметров в файле CAPOlicy.inf ниже (выделено красным)

Изображение 24834
Фигура 2:

Имя файла: CAPolicy.inf

  1. Скопируйте файл CAPolicy.INF в папку %windir%capolicy.inf.
  2. Перейдите в меню «Пуск» / «Панель управления » / «Установка и удаление программ» | нажмите «Добавить/удалить компоненты Windows».
  3. В мастере компонентов Windows вы выбираете службы сертификатов и нажимаете «Далее».
  4. Обратите внимание на то, что отображается в диалоговом окне. Не следует переименовывать компьютер после установки служб сертификации Windows. Нажмите Да

Изображение 24835
Рисунок 3

  1. В поле Тип ЦС щелкните Автономный корневой ЦС, установите флажок « Использовать пользовательские настройки для создания пары ключей и сертификата ЦС » и нажмите «Далее».
     Примечание:
     Корневой ЦС предприятия и подчиненный ЦС предприятия нельзя выбрать, так как этот сервер не является членом домена.

Изображение 24836
Рисунок 4

  1. Выберите CSP, который вы хотите использовать для автономного корневого центра сертификации. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако вы также можете выбрать другого CSP, если вы, например, установили аппаратный модуль безопасности (HSM) и подключили сервер к решению HSM до запуска Процедура установки ЦС.
    Выберите алгоритм хеширования по умолчанию SHA-1.
    Установите длину ключа на 4096
    Убедитесь, что обе опции « Разрешить этому CSP взаимодействовать с рабочим столом » и « Использовать существующий ключ » отмечены флажками. Нажмите Далее

Изображение 24837
Рисунок 5

  1. Введите общее имя для вашего корневого ЦС, настройте суффикс отличительного имени ( O=domain, C=local ) и установите срок действия на 20 лет, затем нажмите «Далее».

Изображение 24838
Рисунок 6

  1. Примите предложение по умолчанию для базы данных сертификатов и файлов журнала (или измените его по желанию) и нажмите «Далее».

Изображение 24839
Рисунок 7

  1. Поскольку это автономный корневой ЦС, нет необходимости устанавливать IIS (Internet Information Services) и, следовательно, причина, по которой отображается это диалоговое окно. Нажмите ОК

Изображение 24840
Рисунок 8

  1. Нажмите Готово

Изображение 24841
Рисунок 9

  1. Нажмите Пуск/Программы/Администрирование/Центр сертификации.
  2. Разверните панель сервера ЦС и щелкните правой кнопкой мыши Отозванные сертификаты. Щелкните Все задачи/ Опубликовать

Изображение 24842
Рисунок 10

  1. Выберите «Новый список отзыва сертификатов» и нажмите «ОК».
  2. Скопируйте %windir%system32certsrvcertenroll*.crt и *.crl на USB-накопитель. Эти файлы понадобятся вам для следующего подчиненного ЦС, который будет установлен
  3. Вы также должны скопировать эти файлы в расположение CDP HTTP, как указано в файле caconfig.inf, указанном ранее.
  4. Сделайте необходимые замены параметров в файле ниже (выделено красным) и запустите файл из командной строки.

Изображение 24843
Рисунок 11

  1. Вы закончили установку корневого ЦС.

Ранее мы упоминали, что существуют веские причины безопасности для того, чтобы оставить корневой центр сертификации и ЦС политики в автономном режиме, включая их отключение. Только выдающие центры сертификации должны оставаться в сети. Поскольку корневой центр сертификации и центр сертификации политики находятся в автономном режиме, они не должны быть членами домена.

Установка корпоративного ЦС онлайн-эмитента

Чтобы установить онлайн-выпускающий ЦС предприятия, вам необходимо выполнить следующее:

  • Подготовьте файл CAPolicy.inf.
  • Установите IIS (информационные службы Интернета)
  • Установите службы сертификации Windows
  • Отправьте запрос сертификата подчиненного ЦС в родительский ЦС.
  • Выпустить сертификат суб-ЦС
  • Установите сертификат подчиненного ЦС в подчиненном ЦС предприятия.
  • Запустите сценарий после настройки
  • Опубликовать список отзыва сертификатов

Вот как это сделать:

  1. Установить сервер с Windows Server 2003 Enterprise Edition вкл. SP1 или новее и убедитесь, что он является членом домена
  2. Убедитесь, что IIS (интернет-информационные службы) установлены. Однако к этому есть примечание. Если вы действительно хотите сделать это правильно, опустите часть IIS. Единственное предостережение при этом заключается в том, что вам обязательно нужно знать свою PKI, прежде чем вы пропустите компонент IIS. Преимущество — более простая настройка и меньше на один вектор атаки.
  3. Сделайте необходимые замены параметров в файле CAPOlicy.inf ниже (выделено красным)

Изображение 24844
Рисунок 12:
Имя файла: CAPolicy.inf

  1. Скопируйте файл CAPolicy.INF в папку %windir%capolicy.inf.
  2. Перейдите в меню «Пуск» / «Панель управления » / «Установка и удаление программ» / нажмите «Добавить/удалить компоненты Windows».
  3. В мастере компонентов Windows вы выбираете службы сертификатов и нажимаете «Далее».

Изображение 24845
Рисунок 13

  1. Обратите внимание на то, что отображается в диалоговом окне. Не следует переименовывать компьютер после установки служб сертификации Windows. Нажмите Да
  2. В поле «Тип ЦС» вы нажимаете «Подчиненный ЦС предприятия», устанавливаете флажок «Использовать пользовательские настройки для создания пары ключей и сертификата ЦС» и нажимаете «Далее».

Изображение 24846
Рисунок 14

  1. Выберите CSP, который вы хотите использовать для выпускающего ЦС. Для простоты мы выбрали Microsoft Strong Cryptographic Provider v1.0, однако вы также можете выбрать другого CSP, если вы, например, установили аппаратный модуль безопасности (HSM) и подключили сервер к решению HSM до запуска Процедура установки ЦС.
    Выберите алгоритм хеширования по умолчанию SHA-1.
    Установите длину ключа на 2048
    Убедитесь, что обе опции « Разрешить этому CSP взаимодействовать с рабочим столом » и « Использовать существующий ключ » отмечены флажками. Нажмите Далее

Изображение 24847
Рисунок 15

  1. Введите общее имя для выпускающего ЦС и установите срок действия 5 лет, затем нажмите «Далее».

Изображение 24848
Рисунок 16

  1. Примите предложение по умолчанию для базы данных сертификатов и файлов журнала (или измените по желанию) и нажмите «Далее».
  2. Появится окно запроса сертификата ЦС. Выберите Сохранить запрос в файл и введите путь и имя файла (мастер автоматически добавит к имени файла расширение.req). Скопируйте файл на USB-накопитель для дальнейшего использования. Нажмите «Далее». Мы будем использовать этот файл запроса позже в этом кратком руководстве.

Изображение 24849
Рисунок 17

  1. Будут добавлены некоторые компоненты приложения сертификата IIS. Нажмите Да

Изображение 24850
Рисунок 18

  1. (Необязательно) Если вы не включили поддержку ASP в IIS, появится следующее диалоговое окно. Нажмите Да

Изображение 24851
Рисунок 19

  1. Вы еще не совсем закончили. Как указано в диалоговом окне, вам нужно будет сгенерировать закрытый ключ для вашего нового выдающего ЦС.

Изображение 24852
Рисунок 20

Нажмите OK и продолжите.

  1. Нажмите Готово

Изображение 24853
Рисунок 21

  1. Прежде чем продолжить, вы должны опубликовать сертификат и список отзыва для вашего корневого ЦС в Active Directory. Это легко сделать, выполнив следующие действия:
    а. Скопируйте файлы *.crt и *.crl, сгенерированные во время установки корневого центра сертификации, в папку %systemroot%system32certsrvcertenroll на сервере центра сертификации.
    б. Запустите приведенный ниже сценарий из командной строки в той же папке на вашем ЦС. Вы должны запустить сценарий от имени пользователя, который является членом группы издателей сертификатов в Active Directory (обычно кто-то с правами администратора домена).

Изображение 24854
Рисунок 22

Скрипт автоматически обработает полное имя файла и выполнит необходимые команды.

  1. Убедитесь, что у вас есть файл запроса сертификата, сгенерированный на шаге 12. Войдите на корневой сервер ЦС.
  2. На корневом сервере ЦС щелкните Пуск/Программы/Администрирование/Центр сертификации.
  3. Разверните панель сервера ЦС и щелкните правой кнопкой мыши имя сервера. Нажмите Все задачи/ Отправить новый запрос…

Изображение 24855
Рисунок 23

  1. Найдите файл запроса, созданный на шаге 12, и нажмите «ОК».
  2. На левой панели щелкните Ожидающие запросы. Найдите запрос сертификата на правой панели / щелкните запрос сертификата правой кнопкой мыши и выберите «Все задачи» / «Выпуск».
  3. Далее нам нужно экспортировать сертификат. На левой панели щелкните Выпущенные сертификаты. На правой панели щелкните сертификат правой кнопкой мыши и выберите Открыть.

Изображение 24856
Рисунок 24

  1. Перейдите на вкладку «Подробности» и нажмите «Копировать в файл…».

Изображение 24857
Рисунок 25

  1. Появится мастер экспорта сертификатов. Нажмите Далее

Изображение 24858
Рисунок 26

  1. Выберите « Стандарт синтаксиса криптографических сообщений…». » и « По возможности включите все сертификаты в путь сертификации ». Нажмите Далее

Изображение 24859
Рисунок 27

  1. Сохраните сертификат на тот же USB-ключ, который использовался на шаге 12. Нажмите «Далее».

Изображение 24860
Рисунок 28

  1. Нажмите «Готово» и нажмите «ОК».
  2. Теперь вы возвращаетесь к выдаче ЦС и нажимаете Пуск/Программы/Администрирование/Центр сертификации.
  3. Разверните панель сервера ЦС и щелкните правой кнопкой мыши имя сервера. Щелкните Все задачи/ Установить сертификат ЦС…

Изображение 24861
Рисунок 29

  1. Найдите сертификат, выданный на шаге 27, и нажмите «ОК».
  2. Разверните панель сервера ЦС и щелкните правой кнопкой мыши имя сервера. Нажмите Запустить службу

Изображение 24862
Рисунок 30

  1. Скопируйте %windir%system32certsrvcertenroll*.crt и *.crl на USB-накопитель. Вам нужно будет скопировать эти файлы на свои веб-серверы, которые используются в качестве точек распространения сертификатов (CDP) с использованием протокола HTTP. Это URL-адрес CDP на основе HTTP, который вы определили ранее в выдающем ЦС caconfig.inf.
    Примечание:
     Эта задача должна быть запланирована и запускаться автоматически
  2. Сделайте необходимые замены параметров в файле ниже (выделено красным) и запустите файл из командной строки.

Изображение 24863
Рисунок 31

  1. Разверните панель сервера ЦС и щелкните правой кнопкой мыши Отозванные сертификаты. Щелкните Все задачи/ Опубликовать

Изображение 24864
Рисунок 32

  1. Выберите «Новый список отзыва сертификатов» и нажмите «ОК».
  2. И, наконец, вы сделали.

Вывод

В этой статье мы дали вам несколько кратких рекомендаций и советов по передовой практике о том, как лучше всего реализовать PKI, состоящую из комбинации как автономных автономных ЦС, так и корпоративных онлайн-ЦС, выдающих сертификаты. Вы должны знать, что сценарий, используемый для публикации сертификата корневого ЦС и файла CRL в локальном хранилище выдавшего ЦС и Active Directory, нуждается в изменениях, если вы используете трехуровневую иерархию. Это связано с тем, что ЦС политики также необходимо опубликовать в локальном хранилище сертификатов выпускающего ЦС нашего предприятия, а также необходимо опубликовать его в Active Directory.

В определенной степени эта третья статья может показаться вам несколько громоздкой, особенно во время внедрения онлайн-выпускающего ЦС. Но как только вы попробуете это, вы обнаружите, что на самом деле не так уж сложно реализовать полномасштабную PKI, которая является одновременно масштабируемой и безопасной. В нашей последней статье из этой серии кратких руководств по PKI мы покажем вам, как проверить нашу установку, а также поддерживать и устранять неполадки PKI, используя несколько простых шагов.

Внешние ресурсы

Эта серия статей написана с помощью большого количества отличных ресурсов. Все отличные статьи Microsoft PKI собраны в одном месте, которое вы можете найти на веб-портале Microsoft PKI.
Инфраструктура открытых ключей для Windows Server 2003

Хотите узнать, как Microsoft использует PKI, тогда ознакомьтесь с IT Showcase — Deploying PKI Inside Microsoft.
Развертывание PKI внутри Microsoft

И это отличная книга — Microsoft Windows Server 2003 PKI и безопасность сертификатов.
Microsoft Windows Server 2003 PKI и безопасность сертификатов

  • Краткое руководство Microsoft PKI. Часть 1. Планирование
  • Краткое руководство Microsoft PKI. Часть 2. Проектирование

  • Краткое руководство Microsoft PKI. Часть 4. Устранение неполадок

подпишитесь на информационный бюллетень с обновлениями статей WindowSecurity.com в режиме реального времени

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023